Será que um smartphone, que a empresa lhe cedeu para trabalhar, pode ser causa para a sua entidade patronal ser condenada a pagar uma coima elevadíssima, o que lhe dará direito de o despedir a si? Veremos que a resposta pode ser positiva.

Veremos também como é que uma pequena coletividade de bairro ou uma empresa com um sócio, um gerente e um trabalhador pode ser objeto de uma coimas até 2% do seu volume de negócios.

Se a sua empresa, associação, clube, ginásio, empresa de venda pela internet, café com cartão de fidelização, ou se é empresário individual ou profissional liberal e tem um base de dados, em papel ou informática e nela inclui, seja a que titulo for, pessoas singulares (e não apenas empresas), então a partir de 25 de Maio de 2018, terá que nomear um Encarregado da Proteção de Dados, um jurista com conhecimentos de Direito e das práticas de proteção de dados, quiçá assessorado por um informático.

Nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, terão que se adaptar as bases de dados para garantir o respeito pelos direitos fundamentais, as liberdades e os princípios das pessoas singulares independentemente da nacionalidade, local de residência, respeito pela vida privada e familiar, domicílio e comunicações, liberdade de pensamento, de consciência e religião, de expressão e informação, liberdade de empresa, diversidade cultural, religiosa, linguística e demais dados pessoais. É obrigação também do Estado e entidades a este relacionadas.

Estamos na Comunidade Europeia há 30 anos e não é habitual falarmos de aplicação direta de normas comunitárias cujo não cumprimento nos sujeitem um cidadão médio, sem uma lei intermédia regulamentadora, a coimas até dez milhões de euros ou, no caso de uma empresa, até dois por cento do seu volume de negócios anual, correspondente ao exercício financeiro anterior.

Assim é importante difundir esta temática, para que ela não fique na sobra, como é o caso da esquecida Lei nº 73/2017 de 16 de Agosto, em vigor desde 17 de Setembro de 2017, que poucos cumprem na obrigação, dentro das empresas com mais de seis trabalhadores, de criação de códigos para a prevenção e combate ao assédio no trabalho, mesmo sendo assunto em moda.

O Regulamento da protecção dos dados vem proteger o tratamento das informações sobre as pessoas para reduzir o abuso no uso dos mesmos. E estamos a referir-nos a dados pessoais de fornecedores, clientes, concorrentes e trabalhadores, pelo que qualquer destas bases de dados está incluída.

Assim, se o telemóvel supra referido, contiver uma base de dados que não só para uso pessoal do seu utilizador, mas para o desempenho do tratamento de dados de forma que não meramente de agenda de contactos pessoais, poderemos estar perante uma violação daquele Regulamento e terá as consequências nefastas referidas.

Uma entidade que só se relacione com pessoas colectivas, a jusante e a montante e que não tenha mais do que um trabalhador, está excluído da aplicação deste diploma, como um quiosque, um café de bairro que não recolha dados de clientes para descontos ou uma associação de juntas de freguesias sem trabalhadores da associação usando recursos das associadas e que se dedique por exemplo à contagem dos animais existentes nos territórios das associadas, sem registo de seus donos ou moradas. Excepcionalmente, o DPO (Data Protection Officer / Encarregado de Protecção de Dados) poderá justificar um tratamento menos exigente.

O armazenamento de dados pessoais tem que garantir o uso não abusivo dos mesmos, como por exemplo numa escolinha de futebol para crianças, as fichas em cartão dos sócios serem guardadas à chave, ficando esta na posse de uma pessoa responsável.

O tratamento dos dados só pode derivar do consentimento por ser necessário para a execução de um contrato no qual o titular dos dados é parte. Ou para diligências pré-contratuais a pedido daquele, para o cumprimento de uma obrigação jurídica, para a defesa de interesses vitais do titular ou de outra pessoa singular, para o exercício de funções de interesse público ou ao exercício da autoridade pública e para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, excepto se do interesse ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados, em especial se for uma criança.

Deixaremos de ser interrompidos por um telefonema de telemarketing. A base de dados, que permitiu esse acesso, poderá ser apagada e o nosso nome deixar de lá constar.

Por outro lado, também tem inconvenientes. A base de dados das pessoas que haviam sido objecto de execuções (penhoras) e insolvências era disponível para evitar novos créditos e deixa agora de o ser. A protecção tem custos.

Numa sociedade em que o saber não ocupa lugar, o que se sabe deve ser bem guardado.

 

1 COMENTÁRIO

  1. […] Se a sua empresa ou empresário individual ou profissional liberal tem um base de dados, manual ou informática e nela inclui clientes que são pessoas singulares / físicas e não apenas empresas, então a partir de 25 de Maio de 2018, terá que ter nomeado um Encarregado da Protecção de Dados nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Directiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados). Esta obrigação abrange desde um clube desportivo, um ginásio, uma empresa de venda pela internet, um café com cartão de fidelização, etc. O não cumprimento do referido Regulamento sujeita o empresário individual ou profissional liberal a coimas até € 10.000.000,00 ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. Este argumento é incentivador do melhor conhecimento deste Regulamento. O encarregado da protecção de dados é designado com base nos seus conhecimentos no domínio do direito e das práticas de protecção de dados, ou seja deverá ser um jurista, de preferência assessorado por um informático. A nossa sociedade teve que fazer um parceria neste sentido para iniciar esta actividade antes do final do ano 2017. O responsável pelo tratamento e a entidade que trate os seus dados, é obrigado a designar um encarregado da protecção de dados, nomeadamente quando as actividades principais do daqueles consistam em operações que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala e operações em grande escala de categorias especiais de dados, que infra se explicam. O referido Regulamento aplica-se para efeitos de trabalhos científicos, históricos e estatísticos, mas não para os dados pessoais das nossas listas pessoais de contactos, no exercício de actividades exclusivamente pessoais ou domésticas. Terá que ter adaptada a sua base de dados de forma a garantir o respeito pelos direitos fundamentais e as liberdade e os princípios das pessoas singulares independentemente da sua nacionalidade ou do seu local de residência, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a protecção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à acção e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística. Nos termos deste Regulamento sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder provar que aquele lhe deu o consentimento para a operação de tratamento dos dados. Ora quem é a entidade que se está a preparar para em 25 de Maio de 2018 passar a arquivar este consentimento? O tratamento dos dados só pode derivar do consentimento por ser necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados, para o cumprimento de uma obrigação jurídica, para a defesa de interesses vitais do titular ou de outra pessoa singular, para o exercício de funções de interesse público ou ao exercício da autoridade pública e para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, excepto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a protecção dos dados pessoais, em especial se o titular for uma criança. O tratamento de dados pessoais para outros fins diferentes dos tenham sido recolhidos deverá ser também autorizado, mas terá que ser compatível com as finalidades para as quais os dados pessoais foram recolhidos. Merecem protecção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais, nomeadamente os que se refiram a crianças, revelem dados de saúde, origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou à vida sexual ou orientação sexual, só permitidos se com finalidades específicas, ou contenham fotografias, entre outros. Deverão ser previstas regras para o exercício por via electrónica pelo titular dos dados dos direitos para solicitar e, sendo caso disso, obter a título gratuito o acesso a dados pessoais, à sua rectificação, ao seu apagamento e ao exercício do direito de oposição, finalidades para as quais os dados são tratados, o período durante o qual os dados serão tratados, a identidade dos destinatários e local do seu armazenamento. O responsável pelo tratamento dos dados pessoais deverá proceder a uma avaliação prévia do impacto sobre a protecção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco. E sempre que o responsável pelo tratamento de dados tenha conhecimento de uma violação, deverá dela dar conhecimento à autoridade de controlo, no prazo de 72 horas após agnição do ocorrido. Quando a violação dos dados pessoais for susceptível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados Além do direito de apresentar reclamação a uma autoridade de controlo, os titulares de dados têm direito a propor, nos tribunais do Estado-Membro em que o titular dos dados tenha a sua residência habitual, uma acção judicial por violação dos direitos, na sequência do mau tratamento dos seus dados pessoais e violação do referido regulamento e direito a receber uma indemnização pelos danos que provar judicialmente ter sofrido. Cada responsável pelo tratamento de dados e quem contrate para o efeito tem que conservar um registo das actividades de tratamento sob a sua responsabilidade, salvo se a empresas ou empresário ou profissional liberal tiver menos de 250 trabalhadores, mantendo-se porém, se o tratamento implicar riscos para os direitos e liberdades do titular dos dados e não for ocasional ou abranja as categorias especiais de dados. Mas estamos a falar apenas do registo das actividades de tratamento não é a necessidade de contratação do Encarregado da Protecção de Dados e demais cumprimento deste Regulamento. Mais sobre este assunto na Revista Pontos de Vista do Jornal Público […]